1 / 303

Infoturve IT spetsialistidele

Tartus, 11.-12. jaanuaril 2010 Mari Seeba. Infoturve IT spetsialistidele. Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”. Koolitusprojekti meeskond. Tellija: Korraldaja: Koolitaja: Koolitaja:. 1. Põhilised teemad.

nibaw
Download Presentation

Infoturve IT spetsialistidele

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tartus, 11.-12. jaanuaril 2010 Mari Seeba Infoturve IT spetsialistidele Tellija: Euroopa Liidu struktuurifondide programm “Infoühiskonna teadlikkuse tõstmine”

  2. Koolitusprojekti meeskond Tellija: Korraldaja: Koolitaja: Koolitaja:

  3. 1 Põhilised teemad • Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis • Õigusaktid jm regulatsioonid. Infoturbe kontseptsioon • Riskihaldus. Infoturbehaldus: ISO27001, ISKE, auditeerimine/sertifitseerimine • IT süsteemid: süsteemiarendus ja infoturve • Asutuse tegevus: töös olevate süsteemide kaitse ülesanded. Infrastruktuuri turve • Turvameetmete tehniline realiseerimine • Hädaolukorrad ja nende käsitluse plaanimine. • Uusimad arengud IT alal + Arutelud, küsimused, näited

  4. Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis Koolituse eesmärgid Lühendeid Rollid ja osalejad Motivatsioon Infoturbe põhiprintsiibid Organisatsiooni infoturbe struktuur Infoturbe alased reeglid Organisatsioon ja infoturve 4

  5. Infoturbe koolituse eesmärgid ja mitte-eesmärgid Ülevaade infoturbest üldisemalt, aga ka detailsemat Saada ettekujutus infoturbega seotud regulatsioonidest Teadmine, kas ja millist abi ISKEst otsima minna, mida mujalt otsida Eesmärk ei ole: ISKE rakendamise / auditi koolitus Konkreetsete süsteemide turve (vrd ISKE moodulid) Katta kõik infoturbe teemad “Läbi võtta” kogu slaidimaterjal – osa jääb iseseisvaks lugemiseks 5

  6. Lühendeid ja sõnaseletusi (1) RIA – Riigi Infosüsteemide Arenduskeskus ISKE - Infosüsteemide kolmeastmelise etalonturbe süsteem RIHA – Riigi infosüsteemide haldussüsteem X-tee - Infosüsteemide andmevahetuskiht IT, IS – infotehnoloogia, infosüsteem BSI - Saksamaa Infoturbeamet, Bundesamt für Sicherheit in der Informationstechnik IT Grundschutzhandbuch - IT etalonturbe käsiraamat 6

  7. Lühendeid ja sõnaseletusi (2) ISACA – Infosüsteemide Auditi ja Juhtimise Assotsiatsioon (Information Systems Audit and Control Association) COBIT - Info- ja sidustehnoloogia juhtimiseesmärgid (Control Objectives for Information and related Technology) CISA – infosüsteemide sertifitseeritud audiitor, Certified Information Systems Auditor EISAÜ – Eesti Infosüsteemide Audiitorite Ühing AvTS – Avaliku teabe seadus 7

  8. ISKE rakendamise rollid Mõningaid rolle võib täita üks ja sama inimene: ISKE koordinaator asutuses Infoturbe spetsialist Asutuse IT eest vastutaja Andmete omanik Juhtkonna esindaja ISKE juurutaja (näiteks asutuste struktuuriüksuste esindaja) ISKE administraator asutuses (kasutajate haldamine asutuses, vajadusel muudatuste laadimine ning kasutajate informeerimine) 8

  9. Osalejate tutvustamine Nimi, asutus (,roll ISKE juurutamisel) (Hinnang ISKE rakendamisele asutuses, nt: rakendatud ja auditeeritud; rakendatud ...%; pole hakanud rakendama; jne) (Küsimus / probleem, millele tahaks koolituselt vastust leida) 9

  10. Motivatsioon 10

  11. Infoturbe statistikat Ohtude esinemissagedus 2008. a-l Euroopa organisatsioonides [Infowatch] 11

  12. Infoturbe statistikat Keskmiselt 5213 teenusetõkestamise (Denial of Sevice, DoS) rünnet päevas Kõige suurem sihtmärk DoS rünnetele oli avalik sektor (30% ründeid) Päevas keskmiselt 100 000 nakatunud arvutit (bot) Kaitsetu Internetti ühendatud arvuti nakatatakse keskmiselt 2...6 minuti jooksul 12

  13. Infoturbe põhiprintsiibid ja -mõisted 13

  14. Käideldavus, terviklus, konfidentsiaalsus Käideldavus – andmed on kättesaadavad volitatud tarbijaile Terviklus – andmed on õiged, täielikud, autentsed Konfidentsiaalsus - kättesaadavus ainult selleks volitatud tarbijaile ning kättesaamatus kõigile ülejäänutele KONFIDENTSIAALSUS TERVIKLUS Infovarad KÄIDELDAVUS 14

  15. Veel infoturbe põhimõisteid Privaatsus(privacy) - võimalus hoida oma elu ja isiklik info avalikkuse eest varjul või hallata enda kohta käiva informatsiooni avalikustamist Salgamise vääramine(non-repudiation) – saatja ei saa väita, et ta pole sõnumit saatnud Jälitatavus(accountability) - toiminguid saab üheselt jälitada selle olemini Autentsus(authenticity) - olem on see mida ta väidetakse olevat Töökindlus (reliability) - võime antud tingimustes mingi etteantud ajavahemiku jooksul täita nõutavat funktsiooni 15

  16. Vara, oht, nõrkus jne Oht Risk Jääkrisk Turvameetmed Nõrkus Vara 16

  17. Ründed ja muud ohud (ISKE klassifikatsioon) G1 – vääramatu jõud G2 – organisatsioonilised puudused G3 – inimvead G4 – tehnilised rikked ja defektid G5 – ründed G6 – andmekaitseohud 17

  18. Rünnete põhjuseid Arvutiründed 19XX – pigem uudishimu, edevus, mängulust (häkkerid, häktivism) Arvutiründed 20XX – suurenenud majanduslik motivatsioon, kriminaalsed huvid, ründed isikute vastu (kräkkerid, organiseeritud kuritegevus) Kübersõda, riikide huvid – nii küberkaitse kui ka -ründe vahendid 18

  19. Organisatsiooni infoturbe struktuur 19

  20. Infoturbe eesmärk Teabe kaitsmine ohtude eest Talituse jätkuvuse tagamine Talitusriski minimeerimine Investeeringute tasuvuse maksimeerimine (sh nt ärivõimalused) Õigusaktidele vastavuse tagamine Kuvandi säilitamine Organisatsiooni infoturbe eesmärgid tulenevad organisatsiooni eesmärkidest! 20

  21. Organisatsiooni eesmärgid ja ülesanded Soovitatavalt: Organisatsiooni eesmärgid, strateegia, poliitika üldised turvalisuse eesmärgid infoturbe eesmärgid jne Võib ka nii: Organisatsioon IT IT turvalisus Igal juhul: organisatsiooni eesmärgid ja regulatsioonid ... infoturbe eesmärgid ja regulatsioonid 21

  22. Rollid infoturbes Tippjuhtkond – vastutus, strateegia, ressursid Infoturbe juht - koordineerimine Infoturbe nõukogu – infoturbe elluviimine Ekspert/spetsialist või väliskonsultant Töötaja/teenistuja/kasutaja – IT realiseerija Protsessi omanik (valdkonnajuhid, andmete omanikud) – turvanõuete koostamine, turbe jälgimine Muud võtmeisikud – osalemine riskikäsitluses Audiitor – järelevalve, hindamine Koolitajad - teadlikkustamine 22

  23. Infoturbe alased reeglid 23

  24. IT kasutamine. Organisatsiooni juhendid ja spetsifikatsioonid Paljud asutustes kohustuslikud dokumendid sisaldavad tavaliselt ka infoturbega seotud elemente, näiteks: osakondade põhimäärused tuleohutuse eeskirjad asutuse asjaajamise kord IT süsteemide kasutamise kord Et infoturvet arendada, on kasulik luua ülevaade asutuse dokumentidest ja nende infoturbega seotud teemadest Lisaks on vaja spetsiifilisi infoturbega seotud regulatsioone, näiteks infoturbe poliitika, infoturbe kontseptsioon, varade inventuur, talitluspidevuse ja taasteplaan jne ei pruugi tingimata alati olla eraldi dokumendid 24

  25. Sisemiste infoturbe regulatsioonide ülevaade: miinimumdokumentatsioon Asutuse üldised regulatsioonid, mis puudutavad (ka) infoturvet - nt tuleohutus, sisekord jne IT regulatsioonid, mis puudutavad (ka) infoturvet - nt arvutivõrgu kasutamise eeskirjad Infoturbe dokumentatsioon (M2.201) Muud turvaeeskirjad (M2.1) 25

  26. Infoturbe dokumentatsioon (M2.201) infoturbe poliitika, infovarade spetsifikatsioonid ja plaanid, infoturbe kontseptsioon, turvameetmete evituse plaanid, IT-vahendite õige ja turvalise kasutamise protseduurid, läbivaatuste dokumentatsioon (kontroll-loetelud, küsitlusmärkmed jms), infoturbepersonali koosolekute protokollid ja otsused, infoturbe aruanded juhtkonnale, infoturbekoolituse plaanid, aruanded turvaintsidentide kohta

  27. Sisemiste infoturbe regulatsioonide ülevaade: muud turvaeeskirjad (M2.1) andmete salvestus, andmearhiivide pidamine andmekandjate transport, hävitamine IT-protseduuride, tarkvara, konfiguratsiooni dokumenteerimine paroolide kasutamine, sisenemisõigused, pääsuõigused ressursside reguleerimine, riist- ja tarkvara hankimine ja üürimine, hoolde- ja remonditööd tarkvara: vastuvõtmine, rakenduste väljatöötamine andmete privaatsus, viirusetõrje revisjon, avariiprofülaktika, turvapoliitika rikkumise käsitlus 27

  28. Andmekaitse 1 Integreeritakse BSI etalonsüsteemi tulevastes versioonides (B1.5) Sisuliselt katab samad nõuded AvTS ja IKS Vastutuste reguleerimine andmekaitse alal Andmetöötluse lubatavuse tõestamine Vajaduse tõestamine, andmete kasutamise sihipärasuse tõestamine, eriotstarbelise kasutamise sihipärasuse tõestamine Andmekaitsevoliniku määramine, töötajate koolitus ja juhendamine Organisatsioonilised protseduurid asjassepuutuvate isikute õiguste tagamiseks Faili- ja seadmeloendite pidamine ja aruandekohustuse täitmine 28

  29. Andmekaitse 2 Tehnika hetketasemele vastavate tehnilis-organisatsiooniliste meetmete rakendamine Andmekaitseõigusliku lubatavuse dokumenteerimine Protokollimise andmekaitseaspektid IT- ja andmekaitse-eeskirjad Andmekaitseõiguslik kinnitamine Võtuprotseduuride registreerimine ja reguleerimine Tellimus-andmetöötluse reguleerimine Andmete sidumise ja kasutamise reguleerimine Sisemise IT-auditi ja andmekaitsekontrolli rajamine 29

  30. Organisatsioon ja infoturve 30

  31. Töötajate vastutus (M2.1) Mitut tüüpi regulatsioonid: Asutuse reeglid IT üldised regulatsioonid Spetsiifilised infoturbe regulatsioonid Vastutus järgmiste infoturbega seotud valdkondade eest: töö plaanimine ja ettevalmistus andmete sisestus, töötlus, väljundandmete järeltöötlus andmekandjate haldus protseduuride täitmise järelevalve 31

  32. Juhtkonna vastutus (M2.336) Juhtkonda tuleks süstemaatiliselt teadvustada: turvariskid => kulud, infoturbeintsidentide mõju, õigusaktidest ja lepingutest tulenevad turvanõuded, ülevaade infoturbe tüüpilistest protseduuridest Üldvastutus asutuse ülesannete, sealhulgas infoturbe eest: infoturbealgatus juhtkonnalt, infoturve protsessides ja projektides kohustused, kvalifikatsioon, ressursid, delegeerimine suunata ja jälgida infoturbeprotsesse, seada mõõdetavad eesmärgid, anda eeskuju turvaeeskirjade järgimisega turvet pidevalt täiustada töötajaid motiveerida, teadvustada, koolitada 32

  33. Töötajate motivatsioon Vastuolulised tegurid: Infoturve on vajalik, tänapäeva asutused ei saa ilma selleta töötada Samas muudab infoturve töö ebamugavamaks ja vähem efektiivseks (juurdepääsu piirangud, töö sisulisest seisukohast ebavajalikud tegevused nagu paroolide sisestamine või krüpteerimine) Seega peaks algatus infoturbe rakendamiseks tulenema juhtkonnalt Töötajaid tuleks motiveerida, eelkõige selgitades infoturbe vajalikkust 33

  34. Töötajate tüüpilised vead: näiteid ebapiisavad paroolid, paroolidega hooletu ringikäimine krüpteerimisest loobumine informatsiooni kaitse puudumine – kaitse vajadust ei teadvustata, reegleid ei jälgita liigne usaldamine väliste mäluseadmete või sülearvutite kadu / vargus Kontrollimata tarkvara käivitamine Kuulajate kogemused? 34

  35. Infoturbe haare Arvestada infoturbega kõigis aspektides: organisatsiooni struktuur, poliitikad, plaanimistegevused, kohustused, tavad, protseduurid, protsessid, ressursid (inimesed, tehnoloogia). 35

  36. Nt: Ligipääs ja ligipääsu kaitsmine Füüsiline ligipääs: ruumid, sissepääsud, aknad; külastajate registreerimine ja saatmine Ligipääs arvutivõrgule: paroolid, kasutajate volitused; võrkude turve; kaugjuurdepääsu haldamine Ligipääs süsteemidele ja andmetele: paroolid, kasutajate volitused Logid, registreerimine: kehtestada logimise reeglid, jälgida isikuandmete kaitset, kontrollida logisid Perioodilised kontrollid: kontrollida ruume, protseduure, logisid jne 36

  37. Nt: Turvaintsidendid, nende avastamine ja nendele reageerimine: reeglid töötajatele Jääda rahulikuks, mitte teha läbimõtlemata tegusid Viivitamata raporteerida vastavalt eeskirjadele Mitte võtta vastumeetmeid enne heakskiitu Mitte varjata asjaolusid Hinnata kahjusid, tagajärgi, mõjutatud pooli Informeerida kolmandaid osapooli vaid siis, kui see on lubatud Mille järgi ära tunda, et tegu on turvaintsidendiga? 37

  38. Turvaintsidendid, nende avastamine ja nendele reageerimine: muud reeglid Üldised reeglid asutustele Turvaintsidentide haldus lülitatud asutuse dokumentatsiooni Töötajad teadlikud Probleem – nt oht või risk, intsident – nt riski realiseerumine Lisareeglid spetsiifiliste probleemide korral – nt kellele teatada esmaselt? Vastavalt ametiülesannetele, Kontaktandmed lihtsalt kättesaadavad 38

  39. Turvaintsidentide raporteerimine - eskaleerimise strateegiad Eskaleerimise strateegiad: kellele teatada edasi (kommunikatsiooni skeem)? Peaks olema määratud vastutuste hierarhia, näiteks: töötajad –> vastutajad spetsiifiliste intsidentide osas (nt üldine turve, infoturve, viirused, tuleohutus jne) -> infoturbe juht -> juhtkond Kuidas teatada, näiteks: suuliselt, telefonitsi, e-postiga Millal teatada, näiteks: kohe, tunni jooksul, päeva jooksul 39

  40. Turvaintsidentide raporteerimine - partnerid Intsidendist mõjutatud asutuse osakonnad Osakonnad, kes peaksid tegelema intsidendi algpõhjustega Partnerid, avalikkus, kes võivad olla mõjutatud või peaksid tegelema algpõhjustega – nt teenuspakkujad, teenuste kasutajad, süsteemide arendajad Pressiteated ainult läbi avalike suhete esindaja Infoturbega seotud muud osapooled (vajadusel): CERT, viirusetõrje tarkvara tootjad jne 40

  41. Põhilised teemad Sissejuhatus, tutvustamine. Infoturbe põhialused. Infoturve organisatsioonis Õigusaktid jm regulatsioonid. Infoturbe kontseptsioon Riskihaldus. Infoturbehaldus: ISO27001, ISKE, auditeerimine/sertifitseerimine IT süsteemid: süsteemiarendus ja infoturve Asutuse tegevus: töös olevate süsteemide kaitse ülesanded. Infrastruktuuri turve Turvameetmete tehniline realiseerimine Hädaolukorrad ja nende käsitluse plaanimine. Uusimad arengud IT alal + Arutelud, küsimused, näited 2 41

  42. Õigusaktid jm regulatsioonid. Infoturbe kontseptsioon Ülevaade õigusaktidest jm Andmeturve Tööohutus (IT) infrastruktuur Vastutused ja riskid Karistusseadustik Infoturbekontseptsioon, seotud regulatsioonid, uuendamine 42

  43. Ülevaade õigusaktidest ja eeskirjadest 43

  44. Infosüsteemide igapäevase kasutamisega / infoturbega seotud seadused Avaliku teabe seadus Isikuandmete kaitse seadus Autoriõiguse seadus Karistusseadustik Infoühiskonna teenuse seadus Konkreetsete registrite seadused jms – nt Rahvastikuregistri seadus (Info)turvet puudutavate valdkondade kohta käivad muud seadused ja regulatsioonid, näiteks hädaolukorraks valmisoleku seadus, päästeseadus jne Konkreetse süsteemi valdkonna kohta käiv seadusandlus Muud infosüsteemidega seotud seadused - Riigisaladuse seadus, Arhiiviseadus, Digitaalallkirja seadus jne 44

  45. (Info)turbega seotud määrused, poliitikad jm VV määrus nr 252 "Infosüsteemide turvameetmete süsteem“, Infoturbe koosvõime raamistik Infoühiskonna Arengukava 2013 Riigi IT koosvõime raamistik Riigi IT arhitektuur Semantilise koosvõime raamistik Veebide koosvõime raamistik Infoturbega seotud muud regulatsioonid, nt siseministri määrus "Tuleohutuse üldnõuded“ 45

  46. Andmeturve asutuses ja isikuandmete kaitse 46

  47. Seadustest tulenevad nõuded teabe konfidentsiaalsusele, terviklusele ja käideldavusele “Avalik" - kaks tähendust avalikult kättesaadav saadud või loodud avalikke ülesandeid täites Turvaosaklass S0…S3, sh isikuandmete kaitse Terviklus – nõuded teabe tõestusväärtusele Käideldavus – nõuded näiteks kodanike päringute ja kirjade vastamise tähtaegadele, süsteemide ristkasutuse vajadus 47

  48. Organisatsiooni kohustused (isikuandmete kaitse seadus) Isikuandmete töötlemisel tuleb jälgida isikuandmete kaitse seadust, vajadusel ka muid regulatsioone Delikaatsete isikuandmete töötlemisel - S2 IKS => organisatsiooni kohustused jälgida isikuandmete töötlemise põhimõtteid, nõudeid ja turvameetmeid registreerida delikaatsete isikuandmete töötlemine (kui isikuandmete töötleja ei ole kindlaks määranud isikuandmete kaitse eest vastutavat isikut) IKS § 42. (1) Delikaatsete isikuandmete töötlemise registreerimiskohustuse, isikuandmete kaitse turvameetmete või isikuandmete töötlemise muude nõuete eiramise eest  (juriidiline isik) => kuni 500 000 krooni 48

  49. Isikuandmete töötlemise põhimõtted seaduslikkuse põhimõte eesmärgikohasuse põhimõte minimaalsuse põhimõte kasutuse piiramise põhimõte andmete kvaliteedi põhimõte turvalisuse põhimõte individuaalse osaluse põhimõte 49

  50. Isikuandmete töötlemise nõuded Isikuandmete töötleja on kohustatud mittevajalikud isikuandmed kustutama või sulgema tagama, et isikuandmed on õiged mittetäielikud ja ebaõiged isikuandmed sulgema ebaõiged andmed säilitama märkusega kasutamise aja kohta koos õigete andmetega isikuandmed, mille õigsus on vaidlustatud, sulgema isikuandmete parandamise korral viivitamata teavitama sellest kolmandaid isikuid, kellelt isikuandmed saadi või kellele isikuandmeid edastati 50

More Related